Managed hosting door True

Windows 7 biedt betere DNS-beveiliging

Dit artikel delen:

De DNS-server die onderdeel uitmaakt van Windows 7 en Windows Server 2008 R2 biedt extra mogelijkheden om het Domain Name System (DNS) te beveiligen. De nieuwe versie van de Microsoft DNS-server ondersteunt namelijk DNSsec.

"De DNS-server in Windows Server 2008 R2 (Release 2) zal ondersteuning bieden voor DNSsec. Die DNS-server is in staat om sleutels te generereren en DNS-zones te beveiligen met digitale handtekeningen. Het gebruikt daarvoor een ondertekeningstool die we leveren met het product." Dat schrijft Shyam Seshadri , programma manager voor Windows DNS bij Microsoft, in een weblog op Microsofts ontwikkelaarssite TechNet.

Domain Name System-servers (DNS) vertalen domeinnamen naar ip-adressen. DNSsec is een uitbreiding op het DNS-protocol, waarmee DNS-zones cryptografisch ondertekend kunnen worden. DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is.

Laagdrempeliger

Olaf Kolkman, directeur NLnet Labs en pleitbezorger van DNSsec: "Als een van de grootste commerciele leveranciers van besturingssystemen DNSsec in zijn producten stopt, betekent dat dat DNSsec door die leverancier serieus wordt genomen. Bovendien wordt het gebruik van DNSsec in Microsoft-omgevingen daardoor laagdrempeliger en dat kan mensen over de streep trekken."

Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky begin juli wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen.

Niet iedereen denkt dat DNSsec alle problemen gaat oplossen. PowerDNS-ontwikkelaar Bert Hubert zei hier eerder over tegen Computable: "DNSSEC is echt een gewapend beton-oplossing, maar vereist dat netwerkbeheerders regelmatig nieuwe sleutels creëren. Die eis is weinig realistisch. Netwerkbeheerders zijn het zicht op hun DNS-infrastructuur vaak kwijt. Ze zijn gewend dat DNS gewoon werkt. Los daarvan: je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt."

Kaminsky-kwetsbaarheid stimuleert DNSsec

Voorstanders van DNSsec lijken echter steeds meer het tij mee te hebben. De Kaminsky-kwetsbaarheid lijkt als gunstig bijeffect te hebben dat een aantal domeinen versneld overstapt op DNSsec.

In juli werd bekend dat het .org-domein DNSsec gaat ondersteunen, in augustus volgde .gov en per 1 september is ook het .cz-domein (Tsjechië) overstag. Wereldwijd ondersteunen zeven domeinen DNSsec: Brazilië (.br), Bulgarije (.bg), -.gov, -.org, Tsjechië (.cz), Puerto Rico (.pr) en Zweden (.se).

De organisatie die het .nl-domein beheert (SIDN), verwacht in 2009 te beginnen met het implementeren van DNSsec. SIDN implementeert DNSsec nu alvast voor een deel van het nl-domein: de ENUM-zone, die de link vormt tussen telefonie en internet.

Andere domeinen die zich voorbereiden op de ondersteuning van DNSsec zijn Engeland (.uk) en India (.in).

DNSsec

http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/  is een site met achtergronden, nieuws en links.

DNS

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte.

Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.

Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Organisaties verwaarlozen DNS-infrastructuur

Getronics ontkent gestuntel met DNS-patch

Tsjechië stapt over op beveiligd DNS-protocol

SIDN: vanaf 2009 overstap naar DNSsec

VS verplicht DNSSEC voor overheid

Firefox beschermt tegen DNS-gat

D-Link DNS-323 als Bittorrent media hub

Getronics: niets mis met Amsterdamse DNS

Aantal DNS-aanvallen neemt toe

'Getronics incompetent bij DNS-patch Amsterdam'

Mailservers nog kwetsbaar voor DNS-lek

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen

Nederlander vond als eerste details DNS-lek

DNS-lek maakt internetbankieren onveilig

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken

Apple-patch voor DNS-lek deugt niet

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

DNS infrastructuur vertoont nog steeds cruciale beveiligingsrisico's

DNS vaak onvoldoende beveiligd

'Organisaties onderschatten DNS-aanval'

SIDN stelt invoering DNSsec uit

SURFnet ondersteunt veilig internetprotocol

Internet krijgt beveiligd DNS-protocol

Windows 7 ligt voor kerst in de schappen

Win7 ondersteunt meer programma's dan Vista

.com-domein krijgt beveiligd DNS-protocol

Fabrikanten kunnen nu al Windows 7 testen

Windows 7 krijgt twee zakelijke versies

Bèta Windows 7 bevat beveiligingslek

Microsoft-servers overbelast door Windows 7

Bèta beschikbaar van Windows Server 2008 R2

Bèta van Windows 7 beschikbaar

Kaminsky vond DNS-lek dankzij fitnessongelukje

Test: Zoek de verschillen met Vista


Reacties

Het is niet juist dan DNSsec pas veilig wordt wanneer iedereen meedoet. De kracht van het protocol is juist dat het sterker wordt naarmate meer mensen meedoen. Wat wel nodig is, is ondersteuning aan zowel server- als clientkant. Dus als je bank en de DNS cache van je ISP allebei DNSsec ondersteunen dan is je bankverkeer in elk geval veilig.

Het regelmatig bijwerken van sleutels is een lastig aspect van DNS, maar er zijn voldoende oplossingen die dat proces automatiseren, op een veilige manier. Ook na invoering van DNSsec kan DNS weer dat systeempje in de hoek worden dat stilletjes zijn werk doet. Maar afgezien van dat het nog altijd bescheiden is, wordt het wel steeds veiliger naarmate meer partijen aanschuiven.

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.